- За юли 2022 г. Microsoft пусна дълъг списък от 84 нови актуализации за сигурност.
- От всички CVE,5 са критични, а 80 от тях са посочени като важни.
- Включихме всички и всички в тази статия, както и с директни връзки
Ако се чувствате малко неудобно, това е, защото вече сме през юли и температурите започват бавно да ни изграждат в офисите ни.
Потребителите на Windows обаче гледат към Microsoft с надеждата, че някои от недостатъците, с които са се борили, най-накрая ще бъдат коригирани.
Вече предоставихме директни връзки за изтегляне за кумулативните актуализации, пуснати днес за Windows 10 и 11, но сега е време отново да поговорим за критичните уязвимости и експозиции.
Този месец технологичният гигант от Редмънд пусна 84 нови корекции, което е много повече, отколкото някои хора очакваха веднага след Великден.
Тези софтуерни актуализации адресират CVE в:
- Microsoft Windows и компоненти на Windows
- Компоненти на Windows Azure
- Microsoft Defender за крайна точка
- Microsoft Edge (базиран на Chromium)
- Офис и Офис компоненти
- Windows BitLocker
- Windows Hyper-V
- Skype за бизнеса и Microsoft Lync
- Софтуер с отворен код
- Xbox
Microsoft предоставя корекции за 84 пропуска през юли 2022 г
Доста безопасно е да се каже, че това не беше нито най-натовареният, нито най-лекият месец за базираните в Редмънд експерти по сигурността.
Може би искате да знаете, че от пуснатите 84 нови CVE, 4 са оценени като критични, а останалите (80) са оценени като важни.
Говорим за 52 уязвимости за повишаване на привилегиите, 4 уязвимости за заобикаляне на защитните функции, 12 уязвимости при отдалечено изпълнение на код, 11 уязвимости при разкриване на информация и 5 отказа на услуга уязвимости
| CVE | Заглавие | Тежест | CVSS | Обществен | Експлоатиран | Тип |
| CVE-2022-22047 | Windows CSRSS Повишаване на привилегия Уязвимост | важно | 7.8 | Не | да | EoP |
| CVE-2022-22038 | Уязвимост при отдалечено изпълнение на код при извикване на отдалечена процедура | Критичен | 8.1 | Не | Не | RCE |
| CVE-2022-30221 | Уязвимост при отдалечено изпълнение на код на Windows Graphics Component | Критичен | 8.8 | Не | Не | RCE |
| CVE-2022-22029 | Уязвимост при отдалечено изпълнение на код на мрежовата файлова система на Windows | Критичен | 8.1 | Не | Не | RCE |
| CVE-2022-22039 | Уязвимост при отдалечено изпълнение на код на мрежовата файлова система на Windows | Критичен | 7.5 | Не | Не | RCE |
| CVE-2022-30215 | Уязвимост при повдигане на привилегии на услугите за федерация на Active Directory | важно | 7.5 | Не | Не | EoP |
| CVE-2022-23816 * | AMD: CVE-2022-23816 AMD CPU Branch Type Confusion | важно | N/A | Не | Не | Информация |
| CVE-2022-23825 * | AMD: CVE-2022-23825 AMD CPU Branch Type Confusion | важно | N/A | Не | Не | Информация |
| CVE-2022-30181 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33641 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33642 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33643 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33650 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33651 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33652 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.4 | Не | Не | EoP |
| CVE-2022-33653 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33654 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33655 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33656 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33657 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33658 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.4 | Не | Не | EoP |
| CVE-2022-33659 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33660 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33661 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33662 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33663 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33664 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33665 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33666 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33667 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33668 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33669 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33671 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 4.9 | Не | Не | EoP |
| CVE-2022-33672 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33673 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 6.5 | Не | Не | EoP |
| CVE-2022-33674 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 8.3 | Не | Не | EoP |
| CVE-2022-33675 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 7.8 | Не | Не | EoP |
| CVE-2022-33677 | Azure Site Recovery Повишаване на привилегия Уязвимост | важно | 7.2 | Не | Не | EoP |
| CVE-2022-33676 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure сайт | важно | 7.2 | Не | Не | RCE |
| CVE-2022-33678 | Уязвимост при отдалечено изпълнение на код за възстановяване на Azure сайт | важно | 7.2 | Не | Не | RCE |
| CVE-2022-30187 | Уязвимост при разкриване на информация в библиотеката за съхранение на Azure | важно | 4.7 | Не | Не | Информация |
| CVE-2022-22048 | Уязвимост за заобикаляне на защитната функция на BitLocker | важно | 6.1 | Не | Не | SFB |
| CVE-2022-27776 * | HackerOne: CVE-2022-27776 Уязвимостта на недостатъчно защитени идентификационни данни може да доведе до изтичане на данни за удостоверяване или заглавка на бисквитка | важно | N/A | Не | Не | Информация |
| CVE-2022-22040 | Уязвимост на модула за динамично компресиране на Интернет информационни услуги за отказ на услуга | важно | 7.3 | Не | Не | DoS |
| CVE-2022-33637 | Microsoft Defender за уязвимост при подправяне на крайни точки | важно | 6.5 | Не | Не | подправяне |
| CVE-2022-33632 | Уязвимост за заобикаляне на защитната функция на Microsoft Office | важно | 4.7 | Не | Не | SFB |
| CVE-2022-22036 | Броячи на производителност за уязвимост при повишаване на привилегии на Windows | важно | 7 | Не | Не | EoP |
| CVE-2022-33633 | Уязвимост при отдалечено изпълнение на код на Skype за бизнеса и Lync | важно | 7.2 | Не | Не | RCE |
| CVE-2022-22037 | Уязвимост при повдигане на привилегия при извикване на разширени локални процедури на Windows | важно | 7.5 | Не | Не | EoP |
| CVE-2022-30202 | Уязвимост при повдигане на привилегия при извикване на разширени локални процедури на Windows | важно | 7 | Не | Не | EoP |
| CVE-2022-30224 | Уязвимост при повдигане на привилегия при извикване на разширени локални процедури на Windows | важно | 7 | Не | Не | EoP |
| CVE-2022-22711 | Windows BitLocker Уязвимост при разкриване на информация | важно | 6.7 | Не | Не | Информация |
| CVE-2022-30203 | Уязвимост за заобикаляне на защитната функция на Windows Boot Manager | важно | 7.4 | Не | Не | SFB |
| CVE-2022-30220 | Повишаване на привилегия на драйвера на общата файлова система на Windows | важно | 7.8 | Не | Не | EoP |
| CVE-2022-30212 | Уязвимост при разкриване на информация на платформата за свързани устройства с Windows | важно | 4.7 | Не | Не | Информация |
| CVE-2022-22031 | Windows Credential Guard Уязвимост при издигане на привилегия на присъединен към домейн публичен ключ | важно | 7.8 | Не | Не | EoP |
| CVE-2022-22026 | Windows CSRSS Повишаване на привилегия Уязвимост | важно | 8.8 | Не | Не | EoP |
| CVE-2022-22049 | Windows CSRSS Повишаване на привилегия Уязвимост | важно | 7.8 | Не | Не | EoP |
| CVE-2022-30214 | Уязвимост при отдалечено изпълнение на код на Windows DNS сървър | важно | 6.6 | Не | Не | RCE |
| CVE-2022-22043 | Повишаване на привилегия на драйвера за бърза FAT файлова система на Windows | важно | 7.8 | Не | Не | EoP |
| CVE-2022-22050 | Уязвимост при повишаване на привилегията на факс услугата Windows | важно | 7.8 | Не | Не | EoP |
| CVE-2022-22024 | Уязвимост при отдалечено изпълнение на код на факс услугата Windows | важно | 7.8 | Не | Не | RCE |
| CVE-2022-22027 | Уязвимост при отдалечено изпълнение на код на факс услугата Windows | важно | 7.8 | Не | Не | RCE |
| CVE-2022-30213 | Windows GDI+ Уязвимост при разкриване на информация | важно | 5.5 | Не | Не | Информация |
| CVE-2022-22034 | Уязвимост при повишаване на привилегия на графичен компонент на Windows | важно | 7.8 | Не | Не | EoP |
| CVE-2022-30205 | Уязвимост на повдигане на привилегии на групови правила на Windows | важно | 6.6 | Не | Не | EoP |
| CVE-2022-22042 | Windows Hyper-V разкриване на информация Уязвимост | важно | 6.5 | Не | Не | Информация |
| CVE-2022-30223 | Windows Hyper-V разкриване на информация Уязвимост | важно | 5.7 | Не | Не | Информация |
| CVE-2022-30209 | Уязвимост при повишаване на привилегия на Windows IIS сървър | важно | 7.4 | Не | Не | EoP |
| CVE-2022-22025 | Интернет информационни услуги на Windows Cachuri модул Уязвимост при отказ на услуга | важно | 7.5 | Не | Не | DoS |
| CVE-2022-21845 | Уязвимост при разкриване на информация в ядрото на Windows | важно | 4.7 | Не | Не | Информация |
| CVE-2022-30211 | Уязвимост при отдалечено изпълнение на код на Windows Layer 2 Tunneling Protocol (L2TP) | важно | 7.5 | Не | Не | RCE |
| CVE-2022-30225 | Уязвимост на услугата за мрежово споделяне на Windows Media Player Повишаване на привилегии | важно | 7.1 | Не | Не | EoP |
| CVE-2022-22028 | Уязвимост при разкриване на информация за мрежовата файлова система на Windows | важно | 5.9 | Не | Не | Информация |
| CVE-2022-22023 | Уязвимост на функцията за заобикаляне на защитната функция на Windows Portable Device Enumerator | важно | 6.6 | Не | Не | SFB |
| CVE-2022-22022 | Уязвимост на Windows Print Spooler Elevation of Privilege | важно | 7.1 | Не | Не | EoP |
| CVE-2022-22041 | Уязвимост на Windows Print Spooler Elevation of Privilege | важно | 6.8 | Не | Не | EoP |
| CVE-2022-30206 | Уязвимост на Windows Print Spooler Elevation of Privilege | важно | 7.8 | Не | Не | EoP |
| CVE-2022-30226 | Уязвимост на Windows Print Spooler Elevation of Privilege | важно | 7.1 | Не | Не | EoP |
| CVE-2022-30208 | Windows Security Account Manager (SAM) Уязвимост при отказ на услуга | важно | 6.5 | Не | Не | DoS |
| CVE-2022-30216 | Уязвимост при подправяне на услугата на Windows Server | важно | 8.8 | Не | Не | подправяне |
| CVE-2022-30222 | Уязвимост при отдалечено изпълнение на код на Windows Shell | важно | 8.4 | Не | Не | RCE |
| CVE-2022-22045 | Windows. устройства. Picker.dll Повишаване на привилегия Уязвимост | важно | 7.8 | Не | Не | EoP |
| CVE-2022-33644 | Уязвимост на услугата Xbox Live Save Elevation of Privilege | важно | 7 | Не | Не | EoP |
| CVE-2022-2294 * | Chromium: CVE-2022-2294 Препълване на буфера на паметта в WebRTC | Високо | N/A | Не | да | RCE |
| CVE-2022-2295 * | Chromium: CVE-2022-2295 Тип объркване във V8 | Високо | N/A | Не | Не | RCE |
Трябва да имате предвид, че актуализациите на Patch Tuesday този месец поправят активно експлоатирана уязвимост при повишаване на привилегиите за нулев ден.
Компанията класифицира дадена уязвимост като нулев ден, ако е публично разкрита или активно експлоатирана без налична официална корекция.
За да бъде по-ясно, активно експлоатираната уязвимост от нулевия ден, коригирана днес, се проследява като CVE-2022-22047 – Windows CSRSS Elevation of Privilege Vulnerability.
Използвайки го, злонамерена трета страна може действително да получи СИСТЕМНИ привилегии, както експертите по сигурността на Microsoft посъветваха чрез тази скорошна версия.
Освен това, също толкова важно, не забравяйте, че има три корекции за бъгове при отказ на услуга (DoS) в изданието от този месец, като всички те имат въздействие.
И от 52-те корекции на EoP бъгове, 30 от тях се отнасят до бъгове на Azure Site Recovery, един от които се предполага, че е под активна атака.
Очаквайки напред, следващото внедряване на актуализацията на сигурността във вторник ще бъде на 9 август, което е малко по-рано, отколкото някои очакваха.
Открихте ли други проблеми след инсталирането на актуализациите за сигурност от този месец? Споделете вашето мнение в секцията за коментари по-долу.
![Windows 10 Февруарска корекция вторник [Връзки за директно изтегляне]](/f/5a20a28e43d8c268b5adedc3872b0c34.jpg?width=300&height=460)
